本發明提供一種數據庫加解密方法、裝置、存儲介質及電子設備，該方法，包括：利用權限用戶的主密鑰解密表密鑰；利用解密后的表密鑰對數據庫中所述權限用戶的待加密數據進行加密，并利用所述主密鑰加密所述表密鑰；在權限用戶登錄數據庫的過程中，獲取所述主密鑰解密所述表密鑰；利用解密后的所述表密鑰解密數據庫中的已加密數據。本發明克服了庫內加密機制完全基于訪問控制的缺陷，極大減輕了服務器負擔，提升了數據庫的性能。

技術領域

本發明涉及計算機軟件技術領域，特別是一種數據庫加解密方法、裝置、存儲介質及電子設備。

背景技術

目前，數據庫加密機制分為庫外加密和庫內加密兩種，其中，庫外加密由專門負責加解密的應用程序來實現數據的加解密，需要編寫復雜的加解密程序，會給數據庫帶來密文無法建立正常的索引等功能實現問題；庫內加密是指數據加解密由DBMS(數據庫管理系統，Database Management System)內核來實現，加解密對用戶相對透明，方法簡單，但密鑰管理比較復雜，完全基于訪問控制，加重了服務器的負擔，對數據庫的性能影響比較大。

發明內容

本發明提供一種數據庫加解密方法、裝置、存儲介質及電子設備，克服了庫內加密機制完全基于訪問控制的缺陷，極大減輕了服務器負擔，提升了數據庫的性能。

第一方面，本發明提供一種數據庫加解密方法，包括：

利用權限用戶的主密鑰解密表密鑰；

利用解密后的表密鑰對數據庫中所述權限用戶的待加密數據進行加密，并利用所述主密鑰加密所述表密鑰；

在權限用戶登錄數據庫的過程中，獲取所述主密鑰解密所述表密鑰；

利用解密后的所述表密鑰解密數據庫中的已加密數據。

在一種實施方式中，加密后的數據、所述表密鑰、所述主密鑰分開存儲。

在一種實施方式中，所述加密后的數據存儲于物理數據庫中，所述表密鑰存儲于數據庫的數據字典中；所述主密鑰存儲于預設容器中。

在一種實施方式中，所述利用解密后的所述表密鑰解密數據庫中的已加密數據之后，還包括：

進行數據庫中數據的查詢操作。

在一種實施方式中，所述方法還包括：

為權限用戶創建主密鑰，并為權限用戶的待加密數據生成表密鑰；

利用所述主密鑰加密所述表密鑰。

在一種實施方式中，在為權限用戶創建主密鑰，并為權限用戶的待加密數據生成表密鑰之前，所述方法還包括：

根據用戶創建的資源對象，設置對應的用于用戶身份權限認證的屬性策略；

根據所述屬性策略進行用戶身份權限認證，得到權限用戶。

在一種實施方式中，所述待加密數據至少包括其中之一：

敏感信息；以及

預設業務數據。

第二方面，本發明提供一種數據庫加解密裝置，包括：

解密模塊，用于利用權限用戶的主密鑰解密表密鑰；在權限用戶登錄數據庫的過程中，獲取所述主密鑰解密所述表密鑰；以及利用解密后的所述表密鑰解密數據庫中的已加密數據；

加密模塊，用于利用解密后的表密鑰對數據庫中所述權限用戶的待加密數據進行加密，并利用所述主密鑰加密所述表密鑰。

第三方面，本發明提供一種存儲介質，所述存儲介質上存儲有計算機程序，所述計算機程序被一個或多個處理器執行時，實現如第一方面所述的數據庫加解密方法。